域渗透|票据伪造
票据伪造
黄金票据
GoldenTicket
简介
Golden Ticket(下面称为金票)是通过伪造的TGT(TicketGranting Ticket),因为只要有了高权限的TGT,那么就可以发送给TGS换取任意服务的ST。可以说有了金票就有了域内的最高权限。
制作金票的条件
1、域名称
2、域的SID值
3、域的KRBTGT账户密码HASH
4、伪造用户名,可以是任意的
利用过程
mimikatz
金票的生成需要用到krbtgt的密码HASH值,可以通过mimikatz中的命令获取krbtgt的值。
1 | lsadump::dcsync /OWA2013.rootkit.org /user:krbtgt |
得到KRBTGT HASH之后使用mimikatz中的kerberos::golden功能生成金票golden.kiribi,即为伪造成功的TGT。
/user:伪造的用户名
/domain:域名称
/sid:SID值,注意是去掉最后一个-后面的值
/krbtgt:krbtgt的HASH值
/ptt:表示的是Pass The Ticket攻击,是把生成的票据导入内存,也可以使用/ticket导出之后再使用
1 | mimikatz.exe "kerberos::golden /user:administrator /domain:rootkit.org /sid:S-1-5-21-3759881954-2993291187-3577547808 /krbtgt:c3d5042c67ef5f461d0ba6ecdd9ea449 /ptt" exit |
此时就可以通过dir成功访问域控的共享文件夹。
1 | dir \\OWA2013.rootkit.org\c$ |
impacket
1 | 1. 清空票据 |
白银票据
SilverTickets
具体什么服务需要使用什么票据,参考这里 How Attackers Use Kerberos Silver Tickets to Exploit Systems https://adsecurity.org/?p=2011
| Service Type | Service Silver Tickets |
|---|---|
| WMI | HOST,RPCSS |
| PowerShell Remoting | HOST,HTTP(WSMAN,RPCSS) |
| WinRM | HOST,HTTP |
| Scheduled Tasks | HOST |
| Windows File Share (CIFS) | CIFS |
| LDAP operations including Mimikatz DCSync | LDAP |
| Windows Remote Server Administration Tools | RPCSS,LDAP,CIFS |
简介
Silver Tickets(下面称银票)就是伪造的ST(Service Ticket),因为在TGT已经在PAC里限定了给
Client授权的服务(通过SID的值),所以银票只能访问指定服务。
制作银票的条件
1、域名称
2、域SID
3、目标服务器的FQDN(Fully Qualified Domain Name全限定域名,即同时带有主机名和域名的名称。)
4、可利用的服务(运行在目标服务器上的kerberos服务,该服务主体名称类型如cifs,http,mssql等)
5、服务账号的NTLM Hash(如果是域控制器机器账号,那就代表DC已经被拿下了)
6、需要伪造的用户名,可以是任意的,这里是silver
利用过程
mimikatz
首先我们需要知道服务账户的密码HASH,这里同样拿域控来举例(注意,这里使用的不是Administrator账号的HASH,而是OWA2013$的)
参数说明:
/domain:当前域名称
/sid:SID值,和金票一样取前面一部分
/target:目标主机,这里是OWA2013.rootkit.org
/service:服务名称,这里需要访问共享文件,所以是cifs
/rc4:服务账户的NTLM HASH值 (OWA2013$)
/user:伪造的用户名
/ptt:表示的是Pass The Ticket攻击,是把生成的票据导入内存,也可以使用/ticket导出之后再使用
用kerberos::ptt来导入
1 | 1. 伪造 cifs 服务权限 |
impacket
1 | 1. 伪造 cifs 服务权限 |
增强版的黄金票据
EnhancedGolden Tickets
在Golden Ticket部分说明可利用krbtgt的密码HASH值生成金票,从而能够获取域控权限同时能够访问域内其他主机的任何服务。
但是普通的金票不能够跨域使用,也就是说金票的权限被限制在当前域内。
域树与域林
NEWS.rootkit.org和 DEV.rootkit.org 均为rootkit.org的子域,这三个域组成了一个域树。
同样test.org也是一个单独的域树,两个域树 rootkit.org 和 test.org 组合起来被称为一个域林。
普通金票的局限性
根域和其他域的最大的区别就是根域对整个域林都有控制权。
而域正是根据Enterprise Admins组来实现这样的权限划分。
Enterprise Admins组
EnterpriseAdmins组是域中用户的一个组,只存在于一个林中的根域中,这个组的成员,这里也就是rootkit.org中的Administrator用户(不是本地的Administrator,是域中的Administrator)对域有完全管理控制权。
rootkit.org的域控上Enterprise Admins组的RID为519。
Domain Admins组
子域中是不存在EnterpriseAdmins组的,在一个子域中权限最高的组就是Domain Admins组。
NEWS.rootkit.org这个子域中的Administrator用户,这个Administrator只有当前域的最高权限。
利用过程
mimikatz
普通的黄金票据被限制在当前域内,在2015年Black Hat USA中国外的研究者提出了突破域限制的增强版的黄金票据。
通过域内主机在迁移时LDAP库中的SIDHistory属性中保存的上一个域的SID值制作可以跨域的金票。
如果知道根域的SID那么就可以通过子域的KRBTGT的HASH值,使用mimikatz创建具有EnterpriseAdmins组权限(域林中的最高权限)的票据。
然后通过mimikatz重新生成包含根域SID的新的金票
1 | mimikatz "kerberos::golden /admin:administrator /domain:news.rootkit.org` /sid:子域sid /sids:根域sids /krbtgt:子域krbtgt的hash /startoffset:0 /endin:600 /renewmax:10080 /ptt" exit |
参考:https://adsecurity.org/?p=1640
Startoffffset和endin分别代表偏移量和长度,renewmax表示生成的票据的最长时间。
注意这里是不知道根域rootkit.org的krbtgt的密码HASH的,使用的是子域NEWS.rootkit.org中的KRBTGT的密码HASH。
然后就可以通过dir访问OWA2013.rootkit.org的共享文件夹,此时的这个票据是拥有整个域林的控制权的。
